この記事でわかること
この記事では、AWS上でセキュリティグループ設定する手順を画像付きで解説します。
VPCはAWSでのネットワークの基盤となる重要な機能で、これを理解することで、
より安全で効率的なシステム構築が可能になります。
※画像を交えながら解説しています。
この記事を書いた理由
AWSのセキュリティグループ設定は、深掘りすればする程に難しくなります。
この記事を通して、セキュリティグループ設定の基本が
しっかり理解できるようになることを目指しました。
対象読者
▪️AWSの資格試験を目指している方
▪️セキュリティグループの基本設定を学びたい方
▪️AWSを使った安全なネットワーク構築を検討している方
ご注意
画像は設定手順をイメージしやすくするための参考です。
細部の仕様や正確性についてはAWS公式ドキュメントをご確認ください。
また、一部個人情報などを削除しています。
進め方
以下の手順に従って、実際にAWSマネージメントコンソールで操作を進めてください。
下記の方法以外にもセキュリティグループ設定の仕方はあります。
今回は、以下のAWS公式ドキュメントを参考にしました。
参考文献
まずAWSマネージメントコンソールにログインします。
1. ネットワークACL(Access Control List)の設定
※ネットワークACLの補足
AWSで使われる「ネットワーク全体のセキュリティルール」です。
セキュリティグループが「個々のインスタンス(EC2など)」に適用されるのに対し、
ネットワークACLは「サブネット」というネットワーク全体に適用されます。
※サーバーの補足
簡単な比喩:サーバーは「建物」そのものです。
データやアプリケーションを提供するコンピュータのことです。
例、ウェブサイトを動かすためのウェブサーバーや、
データを保存するためのデータベースサーバーがあります。
通常、サーバーは物理的なハードウェア(デスクトップPCの大きな版のようなもの)を
指しますが、 AWSでは「仮想的なサーバー」も含めて使われます。
物理サーバー:実際にデータセンターに設置されている実体のあるコンピュータ。
仮想サーバー:物理サーバーの一部を分割・仮想化して使えるもの。
AWSのほとんどのサービス(例:EC2)は仮想サーバーを提供します。
※VPC(Virtual Private Cloud)の補足
クラウド上に仮想的なネットワークを構築するためのサービスです。
IPアドレス空間を作成できて、組織でそれを利用できます。
※サブネットの補足
簡単な比喩:「建物を用途別に区画分けしたエリア」です。
ネットワークの中の「区画」を指します。
AWSでは、VPC(Virtual Private Cloud)という仮想的な大きなネットワークがあり、
その中をさらに小さいネットワークで分けたものがサブネットです。
データをシステムごとに管理できます。
サーバーやインスタンスを配置する場所(エリア)として使います。
※インスタンスの補足
簡単な比喩:「建物の中で、あなたが使える部屋」です。
AWSで新しくEC2(Elastic Compute Cloud)を使用して、
実際に作られた仮想サーバーの1台の事を指します。
インスタンスそれぞれに名前やID(識別番号)があり、設定やデータが個別に管理されます。
手順1
今回はセキュリティーグループで通信を設定しますので指定しません。
defaultのままです。
2. セキュリティグループ作成
AWS上でインスタンス(例、EC2)への通信を制御するために必要なルールを設定するものです。
例、どの通信を許可するか(インバウンド)や、
例、どの通信を外に出せるか(アウトバウンド)を設定できます。
ネットワークACLが「サブネット用の防犯ゲート」なら、
セキュリティグループは「個々の部屋のドアロック」に相当します。
手順1
画面右上の黒い検索バーに「 EC2 」と入力します。
手順2
黒いポップアップが表示されます。「 サービス 」下の「 EC2 」を選び選択します。
手順3
画面左側のナビゲーションペインの「 セキュリティーグループ 」を選択します。
手順4
画面右上の「 セキュリティグループを作成 」を押下します。
手順5
「 基本的な詳細 」下の以下3点を入力又は選択をします。
▫️セキュリティグループ名:例「 イニシャル2文字-SG01 」
(複数有る場合に一意に区別がつく名前)
▫️説明: 例、SSHアクセスを許可、等
▫️VPC: 事前に作成したVPCを選択します
※SSH「 Secure Shell 」の補足
ネットワークに接続された機器を遠隔操作し、管理するための手段(プロトコル)です。
今回はEC2インスタンスに接続するため、こちらを使用します。
※プロトコルの補足
コンピュータ同士が正しく通信するための「ルール」のことです。
人間が会話するときに言語が必要なように、
コンピュータも通信する際にプロトコルという共通ルールを使います。
例、ウェブサイト(HTTP/HTTPS)やファイル転送(FTP)などがこれを使っています。
手順6
「 インバウンドルール 」下の「 ルールを追加 」を押下します。
※インバウンドルールの補足
「外からAWS内のリソースに入ってくる通信を許可・拒否するルール」のことです。
例、外部のPCからAWSのEC2に接続する際に、
このルールで「どんな通信なら許可するか」を設定します。
これを適切に設定しないと、不必要なアクセスを許してしまい、
セキュリティリスクが高まります。
手順7
「 インバウンドルール 」下の以下2点を入力又は選択します。
▫️タイプ: 「 SSH 」を選択します
▫️ソース: 「 マイIP 」を選択します
※タイプの補足
「特定のプロトコルを使った通信」を許可する設定です。
※ソースの補足
通信がどこから来るのか、つまり「通信の出どころ」を指定する項目です。
例、特定のIPアドレス(個別のパソコンやネットワーク)や、
特定の範囲(サブネット)からの通信を許可・拒否できます。
※マイIPの補足
「今あなたが使っているインターネット回線(自分のPCやネットワーク)
のIPアドレス」です。
AWSで設定すると、自分の環境からのみアクセスを許可するルールを簡単に作れます。
例、自宅やオフィスからしかアクセスできないようにしたいときに使います。
手順8
「 アウトバウンドルール 」は制限しないので、何も入力しません。
※アウトバウンドルールの補足
「AWS内のリソースから外部に出ていく通信を許可・拒否するルール」のことです。
例、AWS上のアプリケーションが外部のウェブサービスや
データベースと通信するときに、このルールを適用します。
インバウンドよりも自由に設定されることが多いですが、
必要に応じて制限を加えることでセキュリティを強化できます。
手順9
「 タグ - オプション 」を押下します。
※タグ (Tag)の補足
AWSのリソースに名前やラベルを付ける仕組みです。
例、「自分の荷物に名前シールを貼る」ようなイメージです。
サーバーやストレージなどに「用途」や「担当者」を示すラベルを付けられます。
多くのリソースを管理しやすくするために役立ちます。
手順10
「 タグ オプション 」下の以下2点を入力します。
▫️キー: 例 「 Resource 」
▫️値: 例 「 イニシャル2文字-resource 」
手順11
画面右下のナビゲーションペインの「 セキュリティーグループを作成 」を押下します。